1. Els prestadors de serveis de confiança electrònica qualificats que vulguin prestar serveis de confiança electrònica qualificats:
a) Han d’informar qualsevol persona que vulgui utilitzar un servei de confiança electrònica qualificat sobre les condicions necessàries relatives a la utilització d’aquest servei.
b) Han d’utilitzar sistemes i productes segurs que estiguin protegits contra tota alteració i que garanteixin la seguretat i la fiabilitat tècniques dels processos que sustenten.
c) Han d’utilitzar sistemes segurs per emmagatzemar les dades que se’ls facilitin de forma verificable, de manera que:
— Estiguin a disposició del públic per a la consulta només quan s’hagi obtingut el consentiment de la persona a la qual s’han expedit les dades.
— Només persones autoritzades hi puguin fer anotacions i modificacions.
— Es pugui comprovar l’autenticitat de la informació.
d) Han de prendre mesures contra la falsificació i el robatori de dades.
e) Han de registrar, durant un període mínim de quinze anys comptadors des de l’acabament de la vigència del servei prestat, tota la informació pertinent referent a les dades que hagin generat i rebut, en particular les que serveixin de prova en els procediments legals. Aquesta activitat de registre es pot fer per mitjans electrònics.
f) Han de comptar amb un pla de cessació actualitzat per garantir la continuïtat del servei, de conformitat amb les disposicions de l’organisme de supervisió, d’acord amb l’article 33.2.b).
g) Han de garantir un processament lícit de les dades personals de conformitat amb l’article 28.
2. En expedir un certificat electrònic qualificat, el prestador de serveis de confiança electrònica qualificat ha de verificar de forma fefaent la identitat i, si escau, qualsevol altre atribut específic de la persona física o jurídica a la qual expedeix el certificat electrònic qualificat, per mitjà de l’exhibició dels documents públics o privats que els acreditin de forma suficient.
Aquesta informació ha de ser verificada pel prestador de serveis qualificat o per un tercer autoritzat que actuï sota la responsabilitat del prestador de serveis qualificat:
a) en presència de la persona física o d’un representant autoritzat de la persona jurídica, o.
b) a distància, utilitzant altres certificats electrònics qualificats emesos per un prestador de serveis qualificat, o.
c) a distància, utilitzant mitjans d’identificació electrònics per als quals, abans de l’emissió del certificat qualificat, la persona física o un representant autoritzat de la persona jurídica ha aparegut en persona i que compleixen els requisits previstos a l’article 8 pel que fa als nivells de garantia substancials i alts, o.
d) utilitzant altres mètodes d’identificació reconeguts nacionalment que proporcionin una garantia equivalent en termes de fiabilitat personal. La garantia equivalent és confirmada per un organisme d’avaluació de la conformitat.
e) Els sistemes de videoconferència també estaran admesos si es compleixen els requisits previstos en aquest article i els que es puguin desenvolupar reglamentàriament, pel que fa els nivells de garantia necessaris.
3. Quan es tracti de certificats electrònics emesos a persones físiques però que tenen una vinculació amb una organització, entitat, institució, societat o una altra persona jurídica, els prestadors de serveis de confiança electrònica han de comprovar, a més a més de la identitat del sol·licitant i de la persona identificada al certificat electrònic, les dades relatives a la constitució i la personalitat jurídica de l’entitat, i a l’extensió i la vigència de les facultats o els poders de representació del sol·licitant, mitjançant els documents públics que els acreditin de forma fefaent o la consulta al registre públic pertinent, quan es tracti de dades que han de figurar-hi.
4. No cal aplicar el que preveuen els apartats 2 i 3 quan es tracti d’un sol·licitant la identitat i les circumstàncies del qual siguin conegudes pel prestador de serveis de confiança electrònica, a causa d’una relació preexistent en la qual hagi emprat els mitjans d’identificació que hi són establerts, si no han passat tres anys des de la identificació i si es té constància que totes les dades són vigents.
5. Els prestadors de serveis de confiança electrònica són personalment responsables de les actuacions de comprovació previstes en aquest article, fins i tot en el cas que les deleguin a altres persones.
6. Els prestadors de serveis de confiança electrònica qualificats que expedeixin certificats electrònics qualificats, han de registrar a la base de dades de certificats electrònics la revocació del certificat electrònic en un termini de deu minuts després d’haver fet efecte la revocació.
7. Respecte al que disposa l’apartat 6, els prestadors de serveis de confiança electrònica qualificats que expedeixin certificats electrònics qualificats, han de proporcionar a qualsevol part usuària informació sobre l’estat de validesa o revocació dels certificats electrònics qualificats expedits per ells. Aquesta informació ha d’estar disponible en qualsevol moment almenys per cada certificat electrònic en una forma automatitzada que sigui fiable, gratuïta i eficient.
8. El Govern pot establir números de referència de normes per a sistemes i productes dignes de confiança electrònica. Es presumeix el compliment dels requisits que estableix aquest article quan els sistemes i productes molt segurs compleixin aquestes normes.